我已在服务器上安装filebeat并监视以下日志文件
C:\appl\dev\*\*\ms\*\*.log
我已经如下配置filebeat.yml
filebeat.inputs:
- paths:
- 'C:\appl\dev\*\*\ms\*\*.log'
type: log
processors:
- dissect:
field: log.file.path
tokenizer: "C:\\appl\\dev\\%{field1}\\%{field2}\\ms\\"
我有两个要求,一种是使用另外两个字段filed1和field2获取事件(按上述配置运行)。另一个是在弹性索引名称后附加此附加字段(field1或field2)。
当前索引是变量(index: appname-%{[agent.version]}-%{+yyyy.MM.dd})我需要它是appname-field1-%{[agent.version]}-%{+yyyy.MM.dd}
请咨询
在输出配置中,您需要更改index setting,如下所示:
index